Subido porlazgema
500 vistas

Modulo

El documento presenta los fundamentos de la auditoría de sistemas informáticos. Explica conceptos clave como TIC, sistemas informáticos, definición de auditoría, necesidad y objetivos de la auditoría informática. También describe controles generales y de aplicaciones, así como las normas de auditoría aplicables a la auditoría informática relacionadas con la independencia y competencia.

Incrustar presentación

Descargado 12 veces
UNIVERSIDAD TECNICA DE MANABI FACULTAD DE CIENCIAS ADMINISTRATIVAS Y ECONOMICAS CARRERA DE CONTABILIDAD Y AUDITORIA MATERIA: AUDITORIA DE SISTEMAS INFORMATICOS TUTOR Ing. KEVIN MERO TEMA: MANUAL INTEGRANTES: ARTEAGA ZAMBRANO ANA KAREN CASTRO ANCHUNDIA EMERITA MONSERRATE CEVALLOS MENDOZA ANGELA MONSERRATE MACIAS LAZ GEMA KATHERINE VELEZ RODRIGUEZ ANDREA STEFANY SEMESTRE: OCTAVO “M” DE AUDITORIA
FUNDAMENTOS DE LA AUDITORIA DE SISTEMAS INFORMATICOS 1. FUNDAMENTOS DE AUDITORIA INFORMATICA 1.1 TIC ( Tecnología de Información y Comunicación) 1.2 SISTEMAS INFORMATICOS 1.3 DEFINICION DE AUDITORIA 1.4 AUDITORIA INFORMATICA 1.5 NECESIDADES DE LA AUDITORIA INFORMATICA 1.6 OBJETIVOS DE LA AUDITORIA INFORMATICA 1.7 SEGURIDAD EN LOS SISTEMAS DE INFORMACION 1.8 TIPOS DE MEDIDAS DE SEGURIDAD O CONTRAMEDIDAS 1.9 ORGANISMO REGULADOR DE AUDITORIA INFORMATICA 1.10 CERTIFICADOS OTORGADOS
FUNDAMENTOS DE LA AUDITORIA DE SISTEMAS INFORMATICOS TIC (Tecnología de Información y Comunicación) Las tecnologías de la información y la comunicación (TIC) son un conjunto de servicios, redes, software y dispositivos que tienen como fin la mejora de la calidad de vida de las organizaciones y personas dentro de un entorno, y que se integran a un sistema de información interconectado y complementario. Las Tecnologías de la información y la comunicación, son un solo concepto en dos vertientes diferentes como principal premisa de estudio en las ciencias sociales donde tales tecnologías afectan la forma de vivir de las sociedades.1 SISTEMAS INFORMATICOS Los sistemas informáticos son un subconjunto de subsistemas formalizado, con distintos grados de cobertura. Por otra parte, se puede ver el sistema informático como el conjunto de los recursos técnicos maquinas, y utensilios), financieros (ingresos, gastos y patrimonio) y humanos (plantilla de informáticos y personal auxiliar), cuyo objetivo consiste en el almacenamiento, procesamiento y transmisión de la información de la empresa2 DEFINICIÓN DE AUDITORIA La auditoria es el examen de las demostraciones y registros administrativos. El auditor observa la exactitud, integridad y autenticidad de tales demostraciones, registros y documentos AUDITORIA INFORMATICA 1 http://jrvargas.files.wordpress.com/2009/03/conceptos-basicos-de-auditoria-informatica.pdf 2 http://www.xombra.com/go_articulo.php?nota=66
La auditoría en informática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones. La auditoría en informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información. La auditoría en informática es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo (informática, organización de centros de información, hardware y software).3 NECESIDAD DE LA AUDITORÍA INFORMÁTICA Por tanto la auditoría informática debe analizar: - La función informática, que engloba el análisis de la organización, seguridad, segregación de funciones y gestión de las actividades de proceso de datos. Los sistemas informáticos, buscando asegurar la adecuación de los mismos a los fines para los que fueron diseñados. OBJETIVOS DE LA AUDITORIA INFORMATICA 3 http://jrvargas.files.wordpress.com/2009/03/conceptos-basicos-de-auditoria-informatica.pdf
Los objetivos de la auditoría informática son: - Verificar el control interno de la función informática. - Asegurar a la alta dirección y al resto de las áreas de la empresa que la información que les llega es la necesaria en el momento oportuno, y es fiable, ya que les sirve de base para tomar decisiones importantes. - Eliminar o reducir al máximo la posibilidad de pérdida de la información por fallos en los equipos, en los procesos o por una gestión inadecuada de los archivos de datos. - Detectar y prevenir fraudes por manipulación de la información o por acceso de personas no autorizadas a transacciones que exigen trasvases de fondos. SEGURIDAD EN LOS SISTEMAS DE INFORMACION Debido a la difusión de las tecnologías de la información, la mayoría de las organizaciones actuales están expuestas a una serie de riesgos derivados de una protección inadecuada o inapropiada de la información o de sus sistemas de tratamiento. Los riesgos fundamentales asociados con la incorrecta protección de la información son: Revelación a personas no autorizadas Inexactitud de los datos Inaccesibilidad de la información cuando se necesita Los problemas técnicos, las amenazas ambientales, las condiciones de instalación desfavorables, los usuarios, la situación política y social, son otros tantos factores susceptibles de poner en peligro el buen funcionamiento de los SI4 4 www.monografias.com › Computacion › General
TIPOS DE MEDIDAS DE SEGURIDAD O CONTRAMEDIDAS5 Medidas físicas Medidas lógicas Medidas administrativas Medidas legales ORGANISMO REGULADOR DE AUDITORÍA INFORMÁTICA - ISACA (Information Systems Audit and Control Association - Asociación de Auditoría y Control de Sistemas de Información ) CERTIFICACIONES OTORGADAS: ISACA mantiene el programa de certificación CISA que es reconocida en forma global y ha sido obtenida por más de 30.000 profesionales alrededor del mundo. De otro lado, su nueva certificación CISM (Certified Information Security Manager - Gerente Certificado de Seguridad de Información) se concentra exclusivamente en el sector de gerencia de seguridad de la información.6 5 http://www.xombra.com/go_articulo.php?nota=66 6 http://www.utpl.edu.ec/ecc/wiki/index.php/Auditoria_Inform%C3%A1tica
CONTROL DE LOS SISTEMAS DE INFORMACIÓN COMPUTARIZADOS 2. CONTROL DE LOS SISTEMAS DE INFORMACIÓN COMPUTARIZADOS 2.1 OBJETIVOS 2.2 POSIBLES AMENAZAS 2.3 CONTROLES 2.4 CONTROLES GENERALES 2.5 CONTROLES DE APLICACIONES Bibliografía: - http://www.alegsa.com.ar - http://www.wikipedia.com
Control de los Sistemas de Información Computarizados Los datos automatizados pueden ser susceptibles de destrucción, fraude, error y mal uso. Las empresas que soportan el procesamiento de todas sus operaciones criticas del negocio mediante el uso de computadoras y Sistemas de Información, pueden experimentar pérdidas totales de la funcionalidad del negocio, si pierden su capacidad de computo por más de unos cuantos días. El sistema de información computarizado debe ser controlado con el objetivo de garantizar su correcto funcionamiento y asegurar el control del proceso de los diversos tipos de transacciones, la calidad del proceso de toma de decisiones en un organismo descansa fuertemente en sus sistemas de información. Un sistema de información abarca información cuantitativa, tal como los informes de desempeño que utilizan indicadores, y cualitativa, tal como la atinente a opiniones y comentarios. El sistema deberá contar con mecanismos de seguridad que alcancen a las entradas, procesos, almacenamiento y salidas. El sistema de información computarizada debe ser flexible y susceptible de modificaciones rápidas que permitan hacer frente a necesidades cambiantes de la Dirección en un entorno dinámico de operaciones y presentación de informes. El sistema ayuda a controlar todas las actividades del organismo, a registrar y supervisar transacciones y eventos a medida que ocurren, y a mantener datos financieros. Las actividades de control de los sistemas de aplicación están diseñadas para controlar el procesamiento de las transacciones dentro de los programas de aplicación e incluyen los procedimientos manuales asociados. Bibliografía: - http://www.alegsa.com.ar - http://www.wikipedia.com
OBJETIVOS  Conocer los principales controles internos en entornos informatizados.  Diferenciar entre las personas Hackers y Crackers.  Comprender los principales malware que asechan a un sistema de información automatizado.  Listar prácticas de seguridad informática a seguir en una empresa.  Entender como el papel de la seguridad informática se aplica a las tareas cotidianas de las personas.  Ver videos para comprender que técnica de hacking se usaron. POSIBLES AMENAZAS • Fallas de Hardware. • Fallas de Software. •Acciones del personal. •Robos de: datos, servicios, equipos, etc. • Incendios. • Problemas eléctricos. •Errores de los usuarios. •Cambios en los programas. • Problemas de telecomunicaciones. OTRAS AMENAZAS La proliferación de las redes, y específicamente Internet, ha problematizado más aun la situación.
En este sentido, han surgido dos (2) grandes amenazas: – HACKER. Persona con acceso no autorizado a una red para lucrarse, llevar a cabo acciones criminales o sencillamente por placer personal. – VIRUS. Programa dañino de software que se difunde de un sistema a otro, plagando la memoria y/o destruyendo programas y/o datos. CONTROLES Para minimizar los errores, desastres, delitos por computadoras y fallas de seguridad, es necesario incorporar políticas y procedimientos especiales en el diseño, implementación e implantación de los Sistemas de Información. Los controles consisten en todos los métodos, políticas y procedimientos para asegurar la protección de los activos de la institución, la precisión y la confiabilidad de sus registros. El control debe ser parte integral del diseño. Los controles pueden ser de dos tipos: Generales. De aplicaciones. CONTROLES GENERALES Son aplicables a todos los sistemas de la organización y consisten en una combinación de software y procedimientos. DE IMPLANTACION.- Son puntos formales de revisión de las diferentes etapas del desarrollo del Software. EL SOFTWARE.- Evitan el acceso al Software. Están diseñados para evitar cambios no autorizados de los programas y de los datos.
DE HARDWARE.- Deben asegurarse físicamente de forma tal que sólo tengan acceso a ellos las personas autorizadas. También contemplan aquellas aplicaciones que verifican posibles fallas de Hardware. DE OPERACIONES DE COMPUTO.- También conocidas como auditorías. Aseguran que los procedimientos programados sean consistentes y estén siendo aplicados correctamente en su procesamiento y almacenamiento. EN LOS DATOS.-Que los datos que están en cintas o discos no estén al alcance de personas no autorizadas. ADMINISTRATIVOS.- Son normas, reglas, procedimientos y disciplinas formales para garantizar que los controles de la institución se ejecuten. CONTROLES DE APLICACIONES Son específicos para cada aplicación de computador (nómina, cuentas por cobrar). Consisten en controles aplicados a los tipos de usuarios particulares de un sistema y a la programación de los procedimientos. DE ENTRADAS.- Procedimientos para chequear la exactitud y completitud de los datos cuando son introducidos en el sistema. DE PROCESAMIENTO.- Rutinas para garantizar que los datos se mantienen completos y exactos durante una actualización. DE SALIDAS.- Medidas que aseguren que los resultados de los procesamientos hechos por el computador sean exactos, completos y distribuidos apropiadamente.
LAS NORMAS DE AUDITORIA GENERALMENTE ACEPTADAS, APLICABLES A LA AUDITORIA INFORMATICA 3. LAS NORMAS DE AUDITORIA GENERALMENTE ACEPTADAS, APLICABLES A LA AUDITORIA INFORMATICA 3.1 OBJETIVO DE LAS NORMAS 3.2 INDEPENDENCIA 3.3 COMPETENCIA ÉTICA 3.4 DESEMPEÑO DEL TRABAJO 3.5 EL CONOCIMIENTO DE LAS RELACIONES HUMANAS 3.6 LA ACTITUD POSITIVA 3.7 DENTRO DEL DEPARTAMENTO DE AUDITORIA 3.8 DENTRO DE LA EMPRESA
OBJETIVOS DE LAS NORMAS Las normas de auditoría son directrices generales que ayudan a los auditores a cumplir con sus responsabilidades profesionales. Ello incluye la consideración de capacidades profesionales como lo es la competencia e independencia, los requisitos de informes y la evidencia. INDEPENDENCIA "En todos los asuntos relacionados con la Auditoría, el auditor debe mantener independencia de criterio". La independencia puede concebirse como la libertad profesional que le asiste al auditor para expresar su opinión libre de presiones (políticas, religiosas, familiares, etc.) y subjetividades (sentimientos personales e intereses de grupo). Se requiere entonces objetividad imparcial en su actuación profesional. Si bien es cierto, la independencia de criterio es una actitud mental, el auditor no solamente debe "serlo", sino también "parecerlo", es decir, cuidar, su imagen ante los usuarios de su informe, que no solamente es el cliente que lo contrató sino también los demás interesados (bancos, proveedores, trabajadores, estado, pueblo, etc.). La Independencia debe estar basada en: Actitud y Apariencia.- El auditor informático será independiente del auditado en actitud y apariencia. Relación Organizacional.- El área de auditoría informática será independiente de las áreas auditadas con el fin de permitir la realización objetiva del auditaje sin influencias no apropiadas del auditado. Código de ética profesional.- El auditor debe adherirse al código de ética profesional. COMPETENCIA ÉTICA. Es el conocimiento y habilidades que generan la Educación profesional continuada.
Debe estar basada en: - Conocimiento y habilidades. – El auditor debe poseer habilidades y todo el conocimiento para desarrollar su trabajo. - Educación profesional continuada.- El auditor debe mantener su competencia técnica mediante un programa continuo de preparación. DESEMPEÑO DEL TRABAJO. Es la Planeación y supervisión, donde se encuentran los Requisitos de evidencia y Reportes. El trabajo debe estar caracterizado por: > Planeación y supervisión.- Los trabajos deben planearse y supervisarse para asegurar que se alcanzarán los objetivos y se cumplirán los estándares. > Requisitos de evidencia.- Las evidencias encontradas deben ser de tal naturaleza y suficiencia que soporten los hallazgos y conclusiones del informe. Reportes * Reporte del alcance del auditaje.- Deben incluirse los objetivos del auditaje, período considerado, naturaleza y extensión del trabajo realizado y el criterio utilizado para llegar a las conclusiones y recomendaciones. * Reporte de hallazgo y conclusiones.- El auditor debe indicar los hallazgos y conclusiones relativas al trabajo de auditoría realizado y cualquier reserva que tenga con respecto a los aspectos cubiertos. EL CONOCIMIENTO DE LAS RELACIONES HUMANAS El conocimiento de las relaciones humanas es el arma poderosa que permite la conducción de la “voluntad”, que todos tenemos por el trabajo. Para esto es necesario que el Auditor Interno empiece dando
ejemplo, integrándose primero como ser humano, como otro colaborador que persigue el mismo objetivo; asumiendo una actitud de líder reflejando las relaciones humanas que aplica en su departamento lo que, en definitiva, no sólo le dará una buena imagen, sino que, tendrá el “poder” para convencer a los demás para que hagan lo que se han planificado. Definitivamente, se logra una integración del personal, que es un impulso para el beneficio presente y futuro de las organizaciones. LA ACTITUD POSITIVA El aspecto de relaciones humanas juega un papel preponderante en todas las actitudes y actividades que tiene la humanidad. Con mayor razón, el Auditor Interno que evalúa todos los niveles en la organización, debe asumir una actitud positiva si quiere que su trabajo se desarrolle con normalidad. Con el fin de garantizar la comunicación con todos los sectores de la organización, el Auditor Interno debe aplicar todas aquellas reglas, normas, actitudes y más de relaciones humanas, que motiven a que los colaboradores de la empresa confíen en él y se edifique una imagen clara y positiva de ayuda, ya que su actitud será la que abrirá o cerrará el campo de acción, así como el de la aplicación de sus recomendaciones. DENTRO DEL DEPARTAMENTO DE AUDITORÍA Para crear un ambiente de integración y colaboración en el trabajo, los Auditores deben: * Fortalecer la unidad de grupo para hacer del diálogo, el medio que garantice la consecución de correctivos pertinentes en los niveles de organización, administración, supervisión y operación, dando la importancia que se merece cada uno, en su nivel. * Promover reuniones periódicas en las que se unifiquen criterios técnicos y se resuelvan problemas individuales como medio de
actualización de procedimientos de trabajo y, en especial, de las relaciones humanas. * Incentivar la retroalimentación de información de conocimientos del grupo por medio de charlas y/o reuniones de trabajo luego de cada auditoría. Esto permitirá una convivencia, ya que el Auditor se convierte en expositor de su propia experiencia y el grupo se entera de los problemas y soluciones aplicadas. * Motivar la aplicación de relaciones humanas en el trabajo, procurando que sea el reflejo de lo que sucede dentro del Departamento de Auditoría, como el resultado de la integración del personal. Dentro de la Empresa Los Auditores deben considerar los siguientes aspectos en relación a la empresa y su personal. * Hacer sentir importante al empleado que va a proporcionar la información, todo colaborador es importante a su nivel más aún si le hacemos notar que forma parte del complejo engranaje de la empresa y su participación está involucrada de una y otra manera en las decisiones que finalmente toma la administración. * Procurar conocer los nombres de los colaboradores y llamarlos por sus nombres, esto motiva una actitud de confianza que permite una mejor comunicación. * Procurar escuchar y no sólo hablar, esto ayuda a la apertura de un diálogo que permitirá un mejor entendimiento de los problemas y sus soluciones. * Dejar emitir sus opiniones, aún en el caso que el Auditor considere que no son apropiadas, esto crea un ambiente de participación.
* Procurar ser amable en el trato al personal. No se pierde nada diciendo “por favor”. Se consigue mayor colaboración e información con relaciones humanas, educación y respeto, que con una actitud autoritaria. * Ser puntual en las reuniones, es signo de respeto. El auditor debe estar convencido que el respeto, en principio, no es para los demás sino para uno mismo, si uno respeta su propia escala de valores, de hecho respetará a los demás. * Procurar ser equitativo y justo. Si usted está equivocado, admítalo rápida y enfáticamente. Bibliografía: - PIATTINI Mario y DEL PESO Emilio, “Auditoría Informática. Un enfoque práctico”, RAMA-Editorial, Madrid España
PROCESO DE AUDITORIA DE SISTEMAS INFORMATICOS 4. PROCESO DE AUDITORIA DE SISTEMAS INFORMATICOS 4.1 INTRODUCCIÓN 4.2 AUDITORIA 4.3 AUDITORIA DE SISTEMAS INFORMÁTICOS 4.4 FASES DE LA AUDITORIA DE SISTEMA 4.5 OBJETIVO GENERAL 4.6 OBJETIVOS ESPECÍFICOS 4.7 PLANIFICACIÓN 4.8 OBJETIVOS DE LA PLANIFICACIÓN 4.9 PLANIFICACIÓN PRELIMINAR 4.10 PLANIFICACIÓN ESPECÍFICA 4.11 EJECUCIÓN 4.12 COMUNICACIÓN DE RESULTADOS 4.13 SIMILITUDES Y DIFERENCIAS CON LA AUDITORÍA TRADICIONAL
Introducción A finales del siglo XX, los Sistemas Informáticos se han constituido en las herramientas más poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier organización empresarial, los Sistemas de Información de la empresa. En consecuencia, las organizaciones informáticas forman parte de lo que se ha denominado el "management" o gestión de la empresa. Cabe aclarar que la Informática no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por sí misma, es por esto la importancia de la Auditoría Informática en el funcionamiento de una empresa. AUDITORIA La palabra auditoría proviene del latín auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la virtud de oír. El concepto de auditoría es un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de una sección, un organismo, una entidad, etc. Los principales objetivos que constituyen a la auditoría Informática son el control de la función informática, el análisis de la eficiencia de los Sistemas Informáticos que comparan, la verificación del cumplimiento de la Normativa general de la empresa en este ámbito y la revisión de la eficaz gestión de los recursos materiales y humanos informáticos. El auditor informático ha de velar por la correcta utilización de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz Sistema de Información.
Auditoria de Sistemas Informáticos La auditoria de sistemas es la revisión y la evaluación de los controles en los sistemas de información, para determinar su uso adecuado, eficiencia y seguridad en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones. Fases de la Auditoria de Sistemas Fase contractual Fase preliminar Fase final OBJETIVO GENERAL Aplicar el proceso de auditoría de Sistemas Informáticos en la empresa en donde se desempeña profesionalmente. OBJETIVOS ESPECIFICOS DE LA AUDITORIA DE SISTEMAS  Participación en el desarrollo de nuevos sistemas: evaluación de controles cumplimiento de la metodología.  Evaluación de la seguridad en el área informática.  Evaluación de suficiencia en los planes de contingencia. respaldos, preveer qué va a pasar si se presentan fallas.  Opinión de la utilización de los recursos informáticos. resguardo y protección de activos.
 Control de modificación a las aplicaciones existentes. fraudes control a las modificaciones de los programas.  Participación en la negociación de contratos con los proveedores.  Revisión de la utilización del sistema operativo y los programas utilitarios. control sobre la utilización de los sistemas operativos programas utilitarios.  Auditoría de la base de datos. estructura sobre la cual se desarrollan las aplicaciones...  Auditoría de la red de teleprocesos.  Desarrollo de software de auditoría. PLANIFICACION Toda actividad requiere de una planificación adecuada para poder alcanzar los objetivos y metas propuestas. Esta planificación, le permite al auditor tener una visión clara del trabajo que debe realizar durante las diferentes fases de la auditoría y administrarlo conforme al tiempo previo. Según la guía de Auditoría de Gestión de la Calidad elaborada por Sabina J. (2008), la planificación de la auditoría comprende el desarrollo de una estrategia global para su administración, al igual que el establecimiento de un enfoque apropiado sobre la naturaleza, oportunidad y alcance de los procedimientos de auditoría que deben aplicarse. El planeamiento también permitirá que el equipo de auditoría pueda hacer uso apropiado del potencial humano disponible.
El proceso de la planificación permite al auditor identificar las áreas más importantes y los problemas potenciales del examen, evaluar el nivel de riesgo y programar la obtención de la evidencia necesaria para examinar los distintos componentes de la empresa. La planificación es la primera fase del proceso de la auditoría y de su concepción dependerá la eficiencia y efectividad en el logro de los objetivos propuestos, utilizando los recursos estrictamente necesarios. La planificación será cuidadosa y creativa, positiva e imaginativa, considerará alternativas y seleccionará los métodos más apropiados para realizar las tareas, por tanto esta actividad será coordinada por el Auditor. OBJETIVOS DE LA PLANIFICACION  Permitir la realización de un examen adecuado y eficiente que facilite la consecución de los objetivos de la auditoría en un tiempo razonable.  Facilitar el control sobre el desarrollo del trabajo y el tiempo que se invierte en el mismo.  Fijar racionalmente el alcance con que se van a aplicar los distintos procedimientos de auditoría.  Realizar las actividades de monitoreo y seguimiento de recomendaciones efectuadas en auditorías anteriores. PLANIFICACION PRELIMINAR La planificación preliminar tiene el propósito de obtener o actualizar la información general sobre los distintos sistemas de información que posea la empresa, sus responsables, a fin de identificar globalmente las condiciones existentes para ejecutar la auditoría. Desde este momento, al conocer los principales sistemas o procesos de la organización, sus responsables, actividades, insumos y salidas, estamos en capacidad de identificar aquellos componentes cuya
relación con la misión de la empresa es directa y que además, demanda significativos recursos del presupuesto empresarial. Recuerde esta es una etapa que permite conocer la empresa y específicamente en el caso que nos ocupa los procesos informáticos. Aquí usted debe aplicar todas sus habilidades y destrezas que hasta la presente fecha haya estudiado con la finalidad de cumplir con ese objetivo. PLANIFICACION ESPECÍFICA En esta fase se define la estrategia a seguir en el trabajo de campo. Tiene incidencia en la eficiente utilización de los recursos y en el logro de las metas y objetivos definidos para la auditoría. Se fundamenta en la información obtenida inicialmente durante la planificación preliminar. La planificación específica tiene como propósito principal evaluar el control interno, para obtener información adicional, evaluar y calificar los riesgos de la auditoría y seleccionar los procedimientos de auditoría a ser aplicados a cada componente en la fase de ejecución, mediante los programas respectivos. Es decir mediante estos resultados se determina la estrategia de trabajo requerida para cada caso, las mismas que incluirán pruebas sustantivas y de cumplimiento según sea el caso. Estas pruebas conforman el programa de trabajo que serán asignados a cada proceso, los mismos que se diseñan como una guía de instrucciones a aplicarse y que serán distribuidos entre los integrantes del equipo auditor. EJECUCION Este nivel del proceso de la auditoría se relaciona con el cumplimiento de las actividades incluidas en los programas de trabajo y a base de su aplicación se obtendrá evidencia relacionada. La evidencia debe ser suficiente, competente y relevante.
COMUNICACIÓN DE RESULTADOS Aunque es una de las fases que se la ubica casi al final del proceso, su aplicación deberá ser permanente. Cuando existan hechos reportables deberán ser comunicados oportunamente. Además es conveniente mantener una comunicación constante, lo que garantizará la aplicación oportuna de correctivos, una depuración adecuada del contenido del informe y un aporte de evidencia adicional necesaria para garantizar el trabajo ejecutado por los auditores. En esta fase es importante que se conformen los hallazgos respetando los atributos (condición, criterio, causa y efecto) y de esta forma se debe reunir todos en el informe de auditoría, el mismo que deberá ser comunicado de manera formal al finalizar el proceso. Además deberá contener recomendaciones o sugerencias para la mejora. Para el efecto es importante diseñar un plan de implementación de recomendaciones que debe incluir los siguientes elementos:  Propósito de las recomendaciones  Detalle de actividades  Financiamiento  Responsables  Plazos de ejecución  Firmas de aceptación Debemos tener presente que los papeles de trabajo, las matrices y toda la información que hemos logrado desarrollar, constituirá la base para la elaboración del informe final de auditoría. SEGUIMIENTO El auditor mediante un examen revisará el cumplimiento del propósito y actividades. La eficacia del plan de implementación de
recomendaciones depende de una comunicación abierta en todo el proceso y de la homologación de estos resultados, es decir su aceptación por parte de los encargados de su aplicación. Esta fase se la realiza dependiendo del acuerdo que exista entre el auditado y el auditor.
Similitudes y diferencias con la auditoría tradicional Similitudes No se requieren nuevas normas de auditoría, son las mismas. Los elementos básicos de un buen sistema de control contable interno siguen siendo los mismos; por ejemplo, la adecuada segregación de funciones. Los propósitos principales del estudio y la evaluación del control contable interno son la obtención de evidencia para respaldar una opinión y determinar la base, oportunidad y extensión de las pruebas futuras de auditoría. Diferencias Se establecen algunos nuevos procedimientos de auditoría. Hay diferencias en las técnicas destinadas a mantener un adecuado control interno contable. Hay alguna diferencia en la manera de estudiar y evaluar el control interno contable. Una diferencia significativa es que en algunos procesos se usan programas. El énfasis en la evaluación de los sistemas manuales está en la evaluación de transacciones, mientras que el énfasis en los sistemas informáticos, está en la evaluación del control interno. BIBLIOGRAFIA http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml http://html.rincondelvago.com/auditoria-de-los-sistemas-de- informacion.html

Más contenido relacionado

DOC
Evaluacion De La Seguridad De Los Sistemas Informaticos
porVidal Oved
 
PPT
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
porFinancieros2008
 
DOCX
Ensayo auditoria de sistemas
porSiudy Infante Brito
 
PDF
Control a los sistemas de informacion
porCarlos Jara
 
PPTX
Auditoria de seguridad
porRayzeraus
 
PPT
Seguridad Y Control De Los Sistemas De InformacióN
porguest75288c
 
DOCX
Ensayo sia auditoría informatica 29.05.2011
porJose Olivera
 
PPTX
Nancyauditoria
porkicwua
 
Evaluacion De La Seguridad De Los Sistemas Informaticos
porVidal Oved
 
SEGURIDAD Y CONTROL DE LOS SISTEMAS DE INFORMACIÓN
porFinancieros2008
 
Ensayo auditoria de sistemas
porSiudy Infante Brito
 
Control a los sistemas de informacion
porCarlos Jara
 
Auditoria de seguridad
porRayzeraus
 
Seguridad Y Control De Los Sistemas De InformacióN
porguest75288c
 
Ensayo sia auditoría informatica 29.05.2011
porJose Olivera
 
Nancyauditoria
porkicwua
 

La actualidad más candente

PPTX
3 elementos del control intern
pordaysiGallegos
 
PPTX
3 elementos del control intern
porAnita's Mendez
 
PDF
Taller 3
porroblesdanilo
 
PPTX
Contingencia Informatica
porFernando Alfonso Casas De la Torre
 
PDF
Taller extra 3
porAndreita Lissette
 
PPTX
AUDITORIA DE SEGURIDAD
porZBIGNIEWMILKO
 
PPTX
Auditoria de la seguridad logica
por1416nb
 
PDF
Diseno controles aplicacion
porislenagarcia
 
PDF
Políticas y normas de seguridad, auditoría informática, plan de contingencias
porCamilo Quintana
 
PDF
Normatecnica
porJhon Egoavil
 
PPTX
Control interno y auditoria informática
porUbaldin Gómez Carderón
 
PDF
Seguridad informática
porFelipe Zamora
 
PDF
Taller extra 3
porNitaFernandez
 
PPTX
Auditoria de seguridad informatica
porDavid Thomas
 
PDF
Seguridad
porLisbey Urrea
 
DOCX
Ensayo auditoria de sistemas
porkathia_mile
 
DOCX
Taller extra 3
porcarlos89999
 
PPSX
Semana 11 controles y auditoría de la seguridad física
poredithua
 
PPSX
ISO 27002 Grupo 2
porUpon Software SA
 
3 elementos del control intern
pordaysiGallegos
 
3 elementos del control intern
porAnita's Mendez
 
Taller 3
porroblesdanilo
 
Contingencia Informatica
porFernando Alfonso Casas De la Torre
 
Taller extra 3
porAndreita Lissette
 
AUDITORIA DE SEGURIDAD
porZBIGNIEWMILKO
 
Auditoria de la seguridad logica
por1416nb
 
Diseno controles aplicacion
porislenagarcia
 
Políticas y normas de seguridad, auditoría informática, plan de contingencias
porCamilo Quintana
 
Normatecnica
porJhon Egoavil
 
Control interno y auditoria informática
porUbaldin Gómez Carderón
 
Seguridad informática
porFelipe Zamora
 
Taller extra 3
porNitaFernandez
 
Auditoria de seguridad informatica
porDavid Thomas
 
Seguridad
porLisbey Urrea
 
Ensayo auditoria de sistemas
porkathia_mile
 
Taller extra 3
porcarlos89999
 
Semana 11 controles y auditoría de la seguridad física
poredithua
 
ISO 27002 Grupo 2
porUpon Software SA
 

Similar a Modulo

PPTX
Auditoría de sistemas clase 2
porEdna Lasso
 
PPTX
Auditoría informática
pormaekma
 
PPTX
Auditoria de sistemas
porandrea_sanchez_UCE
 
PPTX
Auditoria informatica
porErii Utatane
 
PPTX
Auditoria jd
porJdgc2304
 
PPTX
Resumén auditoria by Mizael
porMizael Cano Ortiz
 
PPS
Auditoria y control informaticos
porSamuel_Sullon
 
PPT
Seguridad y auditoria informatica, iso 17799
porIestp Instituto Superior
 
PDF
Auditoria informatica
porMagali Ferrel Vega
 
PPTX
Introduccion a la auditoria de sistemas de informacion complemento
poringenierocj
 
DOC
Módulo auditoria de sistemas
poroskr12381
 
PDF
Auditoria informatica
porJosé Moo Chan
 
PDF
Auditoria informatica
porEmilet de Sanoja
 
PDF
Auditoria informatica
porUniversidad Central Del Ecuador
 
PDF
Auditoria informatica
porMiguel Angel Sandoval Calderon
 
PDF
Auditoria informatica
porGustavo Fabian Dominguez Candia
 
DOCX
Auditoria De Sistemas
porcarloscv
 
PDF
Seguridad informática
porXavier Gracia Cervantes
 
DOCX
Auditoria informatica
porJesus Miguel Montilla Dunn
 
DOCX
Auditoria informatica
porXimena Cardenas Olmedo
 
Auditoría de sistemas clase 2
porEdna Lasso
 
Auditoría informática
pormaekma
 
Auditoria de sistemas
porandrea_sanchez_UCE
 
Auditoria informatica
porErii Utatane
 
Auditoria jd
porJdgc2304
 
Resumén auditoria by Mizael
porMizael Cano Ortiz
 
Auditoria y control informaticos
porSamuel_Sullon
 
Seguridad y auditoria informatica, iso 17799
porIestp Instituto Superior
 
Auditoria informatica
porMagali Ferrel Vega
 
Introduccion a la auditoria de sistemas de informacion complemento
poringenierocj
 
Módulo auditoria de sistemas
poroskr12381
 
Auditoria informatica
porJosé Moo Chan
 
Auditoria informatica
porEmilet de Sanoja
 
Auditoria informatica
porUniversidad Central Del Ecuador
 
Auditoria informatica
porMiguel Angel Sandoval Calderon
 
Auditoria informatica
porGustavo Fabian Dominguez Candia
 
Auditoria De Sistemas
porcarloscv
 
Seguridad informática
porXavier Gracia Cervantes
 
Auditoria informatica
porJesus Miguel Montilla Dunn
 
Auditoria informatica
porXimena Cardenas Olmedo
 

Modulo

  • 1.
    UNIVERSIDAD TECNICA DEMANABI FACULTAD DE CIENCIAS ADMINISTRATIVAS Y ECONOMICAS CARRERA DE CONTABILIDAD Y AUDITORIA MATERIA: AUDITORIA DE SISTEMAS INFORMATICOS TUTOR Ing. KEVIN MERO TEMA: MANUAL INTEGRANTES: ARTEAGA ZAMBRANO ANA KAREN CASTRO ANCHUNDIA EMERITA MONSERRATE CEVALLOS MENDOZA ANGELA MONSERRATE MACIAS LAZ GEMA KATHERINE VELEZ RODRIGUEZ ANDREA STEFANY SEMESTRE: OCTAVO “M” DE AUDITORIA
  • 2.
    FUNDAMENTOS DE LAAUDITORIA DE SISTEMAS INFORMATICOS 1. FUNDAMENTOS DE AUDITORIA INFORMATICA 1.1 TIC ( Tecnología de Información y Comunicación) 1.2 SISTEMAS INFORMATICOS 1.3 DEFINICION DE AUDITORIA 1.4 AUDITORIA INFORMATICA 1.5 NECESIDADES DE LA AUDITORIA INFORMATICA 1.6 OBJETIVOS DE LA AUDITORIA INFORMATICA 1.7 SEGURIDAD EN LOS SISTEMAS DE INFORMACION 1.8 TIPOS DE MEDIDAS DE SEGURIDAD O CONTRAMEDIDAS 1.9 ORGANISMO REGULADOR DE AUDITORIA INFORMATICA 1.10 CERTIFICADOS OTORGADOS
  • 3.
    FUNDAMENTOS DE LAAUDITORIA DE SISTEMAS INFORMATICOS TIC (Tecnología de Información y Comunicación) Las tecnologías de la información y la comunicación (TIC) son un conjunto de servicios, redes, software y dispositivos que tienen como fin la mejora de la calidad de vida de las organizaciones y personas dentro de un entorno, y que se integran a un sistema de información interconectado y complementario. Las Tecnologías de la información y la comunicación, son un solo concepto en dos vertientes diferentes como principal premisa de estudio en las ciencias sociales donde tales tecnologías afectan la forma de vivir de las sociedades.1 SISTEMAS INFORMATICOS Los sistemas informáticos son un subconjunto de subsistemas formalizado, con distintos grados de cobertura. Por otra parte, se puede ver el sistema informático como el conjunto de los recursos técnicos maquinas, y utensilios), financieros (ingresos, gastos y patrimonio) y humanos (plantilla de informáticos y personal auxiliar), cuyo objetivo consiste en el almacenamiento, procesamiento y transmisión de la información de la empresa2 DEFINICIÓN DE AUDITORIA La auditoria es el examen de las demostraciones y registros administrativos. El auditor observa la exactitud, integridad y autenticidad de tales demostraciones, registros y documentos AUDITORIA INFORMATICA 1 http://jrvargas.files.wordpress.com/2009/03/conceptos-basicos-de-auditoria-informatica.pdf 2 http://www.xombra.com/go_articulo.php?nota=66
  • 4.
    La auditoría eninformática es la revisión y la evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones. La auditoría en informática deberá comprender no sólo la evaluación de los equipos de cómputo, de un sistema o procedimiento específico, sino que además habrá de evaluar los sistemas de información en general desde sus entradas, procedimientos, controles, archivos, seguridad y obtención de información. La auditoría en informática es de vital importancia para el buen desempeño de los sistemas de información, ya que proporciona los controles necesarios para que los sistemas sean confiables y con un buen nivel de seguridad. Además debe evaluar todo (informática, organización de centros de información, hardware y software).3 NECESIDAD DE LA AUDITORÍA INFORMÁTICA Por tanto la auditoría informática debe analizar: - La función informática, que engloba el análisis de la organización, seguridad, segregación de funciones y gestión de las actividades de proceso de datos. Los sistemas informáticos, buscando asegurar la adecuación de los mismos a los fines para los que fueron diseñados. OBJETIVOS DE LA AUDITORIA INFORMATICA 3 http://jrvargas.files.wordpress.com/2009/03/conceptos-basicos-de-auditoria-informatica.pdf
  • 5.
    Los objetivos dela auditoría informática son: - Verificar el control interno de la función informática. - Asegurar a la alta dirección y al resto de las áreas de la empresa que la información que les llega es la necesaria en el momento oportuno, y es fiable, ya que les sirve de base para tomar decisiones importantes. - Eliminar o reducir al máximo la posibilidad de pérdida de la información por fallos en los equipos, en los procesos o por una gestión inadecuada de los archivos de datos. - Detectar y prevenir fraudes por manipulación de la información o por acceso de personas no autorizadas a transacciones que exigen trasvases de fondos. SEGURIDAD EN LOS SISTEMAS DE INFORMACION Debido a la difusión de las tecnologías de la información, la mayoría de las organizaciones actuales están expuestas a una serie de riesgos derivados de una protección inadecuada o inapropiada de la información o de sus sistemas de tratamiento. Los riesgos fundamentales asociados con la incorrecta protección de la información son: Revelación a personas no autorizadas Inexactitud de los datos Inaccesibilidad de la información cuando se necesita Los problemas técnicos, las amenazas ambientales, las condiciones de instalación desfavorables, los usuarios, la situación política y social, son otros tantos factores susceptibles de poner en peligro el buen funcionamiento de los SI4 4 www.monografias.com › Computacion › General
  • 6.
    TIPOS DE MEDIDASDE SEGURIDAD O CONTRAMEDIDAS5 Medidas físicas Medidas lógicas Medidas administrativas Medidas legales ORGANISMO REGULADOR DE AUDITORÍA INFORMÁTICA - ISACA (Information Systems Audit and Control Association - Asociación de Auditoría y Control de Sistemas de Información ) CERTIFICACIONES OTORGADAS: ISACA mantiene el programa de certificación CISA que es reconocida en forma global y ha sido obtenida por más de 30.000 profesionales alrededor del mundo. De otro lado, su nueva certificación CISM (Certified Information Security Manager - Gerente Certificado de Seguridad de Información) se concentra exclusivamente en el sector de gerencia de seguridad de la información.6 5 http://www.xombra.com/go_articulo.php?nota=66 6 http://www.utpl.edu.ec/ecc/wiki/index.php/Auditoria_Inform%C3%A1tica
  • 7.
    CONTROL DE LOSSISTEMAS DE INFORMACIÓN COMPUTARIZADOS 2. CONTROL DE LOS SISTEMAS DE INFORMACIÓN COMPUTARIZADOS 2.1 OBJETIVOS 2.2 POSIBLES AMENAZAS 2.3 CONTROLES 2.4 CONTROLES GENERALES 2.5 CONTROLES DE APLICACIONES Bibliografía: - http://www.alegsa.com.ar - http://www.wikipedia.com
  • 8.
    Control de losSistemas de Información Computarizados Los datos automatizados pueden ser susceptibles de destrucción, fraude, error y mal uso. Las empresas que soportan el procesamiento de todas sus operaciones criticas del negocio mediante el uso de computadoras y Sistemas de Información, pueden experimentar pérdidas totales de la funcionalidad del negocio, si pierden su capacidad de computo por más de unos cuantos días. El sistema de información computarizado debe ser controlado con el objetivo de garantizar su correcto funcionamiento y asegurar el control del proceso de los diversos tipos de transacciones, la calidad del proceso de toma de decisiones en un organismo descansa fuertemente en sus sistemas de información. Un sistema de información abarca información cuantitativa, tal como los informes de desempeño que utilizan indicadores, y cualitativa, tal como la atinente a opiniones y comentarios. El sistema deberá contar con mecanismos de seguridad que alcancen a las entradas, procesos, almacenamiento y salidas. El sistema de información computarizada debe ser flexible y susceptible de modificaciones rápidas que permitan hacer frente a necesidades cambiantes de la Dirección en un entorno dinámico de operaciones y presentación de informes. El sistema ayuda a controlar todas las actividades del organismo, a registrar y supervisar transacciones y eventos a medida que ocurren, y a mantener datos financieros. Las actividades de control de los sistemas de aplicación están diseñadas para controlar el procesamiento de las transacciones dentro de los programas de aplicación e incluyen los procedimientos manuales asociados. Bibliografía: - http://www.alegsa.com.ar - http://www.wikipedia.com
  • 9.
    OBJETIVOS  Conocer los principales controles internos en entornos informatizados.  Diferenciar entre las personas Hackers y Crackers.  Comprender los principales malware que asechan a un sistema de información automatizado.  Listar prácticas de seguridad informática a seguir en una empresa.  Entender como el papel de la seguridad informática se aplica a las tareas cotidianas de las personas.  Ver videos para comprender que técnica de hacking se usaron. POSIBLES AMENAZAS • Fallas de Hardware. • Fallas de Software. •Acciones del personal. •Robos de: datos, servicios, equipos, etc. • Incendios. • Problemas eléctricos. •Errores de los usuarios. •Cambios en los programas. • Problemas de telecomunicaciones. OTRAS AMENAZAS La proliferación de las redes, y específicamente Internet, ha problematizado más aun la situación.
  • 10.
    En este sentido,han surgido dos (2) grandes amenazas: – HACKER. Persona con acceso no autorizado a una red para lucrarse, llevar a cabo acciones criminales o sencillamente por placer personal. – VIRUS. Programa dañino de software que se difunde de un sistema a otro, plagando la memoria y/o destruyendo programas y/o datos. CONTROLES Para minimizar los errores, desastres, delitos por computadoras y fallas de seguridad, es necesario incorporar políticas y procedimientos especiales en el diseño, implementación e implantación de los Sistemas de Información. Los controles consisten en todos los métodos, políticas y procedimientos para asegurar la protección de los activos de la institución, la precisión y la confiabilidad de sus registros. El control debe ser parte integral del diseño. Los controles pueden ser de dos tipos: Generales. De aplicaciones. CONTROLES GENERALES Son aplicables a todos los sistemas de la organización y consisten en una combinación de software y procedimientos. DE IMPLANTACION.- Son puntos formales de revisión de las diferentes etapas del desarrollo del Software. EL SOFTWARE.- Evitan el acceso al Software. Están diseñados para evitar cambios no autorizados de los programas y de los datos.
  • 11.
    DE HARDWARE.- Debenasegurarse físicamente de forma tal que sólo tengan acceso a ellos las personas autorizadas. También contemplan aquellas aplicaciones que verifican posibles fallas de Hardware. DE OPERACIONES DE COMPUTO.- También conocidas como auditorías. Aseguran que los procedimientos programados sean consistentes y estén siendo aplicados correctamente en su procesamiento y almacenamiento. EN LOS DATOS.-Que los datos que están en cintas o discos no estén al alcance de personas no autorizadas. ADMINISTRATIVOS.- Son normas, reglas, procedimientos y disciplinas formales para garantizar que los controles de la institución se ejecuten. CONTROLES DE APLICACIONES Son específicos para cada aplicación de computador (nómina, cuentas por cobrar). Consisten en controles aplicados a los tipos de usuarios particulares de un sistema y a la programación de los procedimientos. DE ENTRADAS.- Procedimientos para chequear la exactitud y completitud de los datos cuando son introducidos en el sistema. DE PROCESAMIENTO.- Rutinas para garantizar que los datos se mantienen completos y exactos durante una actualización. DE SALIDAS.- Medidas que aseguren que los resultados de los procesamientos hechos por el computador sean exactos, completos y distribuidos apropiadamente.
  • 12.
    LAS NORMAS DEAUDITORIA GENERALMENTE ACEPTADAS, APLICABLES A LA AUDITORIA INFORMATICA 3. LAS NORMAS DE AUDITORIA GENERALMENTE ACEPTADAS, APLICABLES A LA AUDITORIA INFORMATICA 3.1 OBJETIVO DE LAS NORMAS 3.2 INDEPENDENCIA 3.3 COMPETENCIA ÉTICA 3.4 DESEMPEÑO DEL TRABAJO 3.5 EL CONOCIMIENTO DE LAS RELACIONES HUMANAS 3.6 LA ACTITUD POSITIVA 3.7 DENTRO DEL DEPARTAMENTO DE AUDITORIA 3.8 DENTRO DE LA EMPRESA
  • 13.
    OBJETIVOS DE LASNORMAS Las normas de auditoría son directrices generales que ayudan a los auditores a cumplir con sus responsabilidades profesionales. Ello incluye la consideración de capacidades profesionales como lo es la competencia e independencia, los requisitos de informes y la evidencia. INDEPENDENCIA "En todos los asuntos relacionados con la Auditoría, el auditor debe mantener independencia de criterio". La independencia puede concebirse como la libertad profesional que le asiste al auditor para expresar su opinión libre de presiones (políticas, religiosas, familiares, etc.) y subjetividades (sentimientos personales e intereses de grupo). Se requiere entonces objetividad imparcial en su actuación profesional. Si bien es cierto, la independencia de criterio es una actitud mental, el auditor no solamente debe "serlo", sino también "parecerlo", es decir, cuidar, su imagen ante los usuarios de su informe, que no solamente es el cliente que lo contrató sino también los demás interesados (bancos, proveedores, trabajadores, estado, pueblo, etc.). La Independencia debe estar basada en: Actitud y Apariencia.- El auditor informático será independiente del auditado en actitud y apariencia. Relación Organizacional.- El área de auditoría informática será independiente de las áreas auditadas con el fin de permitir la realización objetiva del auditaje sin influencias no apropiadas del auditado. Código de ética profesional.- El auditor debe adherirse al código de ética profesional. COMPETENCIA ÉTICA. Es el conocimiento y habilidades que generan la Educación profesional continuada.
  • 14.
    Debe estar basadaen: - Conocimiento y habilidades. – El auditor debe poseer habilidades y todo el conocimiento para desarrollar su trabajo. - Educación profesional continuada.- El auditor debe mantener su competencia técnica mediante un programa continuo de preparación. DESEMPEÑO DEL TRABAJO. Es la Planeación y supervisión, donde se encuentran los Requisitos de evidencia y Reportes. El trabajo debe estar caracterizado por: > Planeación y supervisión.- Los trabajos deben planearse y supervisarse para asegurar que se alcanzarán los objetivos y se cumplirán los estándares. > Requisitos de evidencia.- Las evidencias encontradas deben ser de tal naturaleza y suficiencia que soporten los hallazgos y conclusiones del informe. Reportes * Reporte del alcance del auditaje.- Deben incluirse los objetivos del auditaje, período considerado, naturaleza y extensión del trabajo realizado y el criterio utilizado para llegar a las conclusiones y recomendaciones. * Reporte de hallazgo y conclusiones.- El auditor debe indicar los hallazgos y conclusiones relativas al trabajo de auditoría realizado y cualquier reserva que tenga con respecto a los aspectos cubiertos. EL CONOCIMIENTO DE LAS RELACIONES HUMANAS El conocimiento de las relaciones humanas es el arma poderosa que permite la conducción de la “voluntad”, que todos tenemos por el trabajo. Para esto es necesario que el Auditor Interno empiece dando
  • 15.
    ejemplo, integrándose primero como ser humano, como otro colaborador que persigue el mismo objetivo; asumiendo una actitud de líder reflejando las relaciones humanas que aplica en su departamento lo que, en definitiva, no sólo le dará una buena imagen, sino que, tendrá el “poder” para convencer a los demás para que hagan lo que se han planificado. Definitivamente, se logra una integración del personal, que es un impulso para el beneficio presente y futuro de las organizaciones. LA ACTITUD POSITIVA El aspecto de relaciones humanas juega un papel preponderante en todas las actitudes y actividades que tiene la humanidad. Con mayor razón, el Auditor Interno que evalúa todos los niveles en la organización, debe asumir una actitud positiva si quiere que su trabajo se desarrolle con normalidad. Con el fin de garantizar la comunicación con todos los sectores de la organización, el Auditor Interno debe aplicar todas aquellas reglas, normas, actitudes y más de relaciones humanas, que motiven a que los colaboradores de la empresa confíen en él y se edifique una imagen clara y positiva de ayuda, ya que su actitud será la que abrirá o cerrará el campo de acción, así como el de la aplicación de sus recomendaciones. DENTRO DEL DEPARTAMENTO DE AUDITORÍA Para crear un ambiente de integración y colaboración en el trabajo, los Auditores deben: * Fortalecer la unidad de grupo para hacer del diálogo, el medio que garantice la consecución de correctivos pertinentes en los niveles de organización, administración, supervisión y operación, dando la importancia que se merece cada uno, en su nivel. * Promover reuniones periódicas en las que se unifiquen criterios técnicos y se resuelvan problemas individuales como medio de
  • 16.
    actualización de procedimientosde trabajo y, en especial, de las relaciones humanas. * Incentivar la retroalimentación de información de conocimientos del grupo por medio de charlas y/o reuniones de trabajo luego de cada auditoría. Esto permitirá una convivencia, ya que el Auditor se convierte en expositor de su propia experiencia y el grupo se entera de los problemas y soluciones aplicadas. * Motivar la aplicación de relaciones humanas en el trabajo, procurando que sea el reflejo de lo que sucede dentro del Departamento de Auditoría, como el resultado de la integración del personal. Dentro de la Empresa Los Auditores deben considerar los siguientes aspectos en relación a la empresa y su personal. * Hacer sentir importante al empleado que va a proporcionar la información, todo colaborador es importante a su nivel más aún si le hacemos notar que forma parte del complejo engranaje de la empresa y su participación está involucrada de una y otra manera en las decisiones que finalmente toma la administración. * Procurar conocer los nombres de los colaboradores y llamarlos por sus nombres, esto motiva una actitud de confianza que permite una mejor comunicación. * Procurar escuchar y no sólo hablar, esto ayuda a la apertura de un diálogo que permitirá un mejor entendimiento de los problemas y sus soluciones. * Dejar emitir sus opiniones, aún en el caso que el Auditor considere que no son apropiadas, esto crea un ambiente de participación.
  • 17.
    * Procurar seramable en el trato al personal. No se pierde nada diciendo “por favor”. Se consigue mayor colaboración e información con relaciones humanas, educación y respeto, que con una actitud autoritaria. * Ser puntual en las reuniones, es signo de respeto. El auditor debe estar convencido que el respeto, en principio, no es para los demás sino para uno mismo, si uno respeta su propia escala de valores, de hecho respetará a los demás. * Procurar ser equitativo y justo. Si usted está equivocado, admítalo rápida y enfáticamente. Bibliografía: - PIATTINI Mario y DEL PESO Emilio, “Auditoría Informática. Un enfoque práctico”, RAMA-Editorial, Madrid España
  • 18.
    PROCESO DE AUDITORIADE SISTEMAS INFORMATICOS 4. PROCESO DE AUDITORIA DE SISTEMAS INFORMATICOS 4.1 INTRODUCCIÓN 4.2 AUDITORIA 4.3 AUDITORIA DE SISTEMAS INFORMÁTICOS 4.4 FASES DE LA AUDITORIA DE SISTEMA 4.5 OBJETIVO GENERAL 4.6 OBJETIVOS ESPECÍFICOS 4.7 PLANIFICACIÓN 4.8 OBJETIVOS DE LA PLANIFICACIÓN 4.9 PLANIFICACIÓN PRELIMINAR 4.10 PLANIFICACIÓN ESPECÍFICA 4.11 EJECUCIÓN 4.12 COMUNICACIÓN DE RESULTADOS 4.13 SIMILITUDES Y DIFERENCIAS CON LA AUDITORÍA TRADICIONAL
  • 19.
    Introducción A finales delsiglo XX, los Sistemas Informáticos se han constituido en las herramientas más poderosas para materializar uno de los conceptos más vitales y necesarios para cualquier organización empresarial, los Sistemas de Información de la empresa. En consecuencia, las organizaciones informáticas forman parte de lo que se ha denominado el "management" o gestión de la empresa. Cabe aclarar que la Informática no gestiona propiamente la empresa, ayuda a la toma de decisiones, pero no decide por sí misma, es por esto la importancia de la Auditoría Informática en el funcionamiento de una empresa. AUDITORIA La palabra auditoría proviene del latín auditorius, y de esta proviene la palabra auditor, que se refiere a todo aquel que tiene la virtud de oír. El concepto de auditoría es un examen crítico que se realiza con el fin de evaluar la eficacia y eficiencia de una sección, un organismo, una entidad, etc. Los principales objetivos que constituyen a la auditoría Informática son el control de la función informática, el análisis de la eficiencia de los Sistemas Informáticos que comparan, la verificación del cumplimiento de la Normativa general de la empresa en este ámbito y la revisión de la eficaz gestión de los recursos materiales y humanos informáticos. El auditor informático ha de velar por la correcta utilización de los amplios recursos que la empresa pone en juego para disponer de un eficiente y eficaz Sistema de Información.
  • 20.
    Auditoria de SistemasInformáticos La auditoria de sistemas es la revisión y la evaluación de los controles en los sistemas de información, para determinar su uso adecuado, eficiencia y seguridad en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización más eficiente y segura de la información que servirá para una adecuada toma de decisiones. Fases de la Auditoria de Sistemas Fase contractual Fase preliminar Fase final OBJETIVO GENERAL Aplicar el proceso de auditoría de Sistemas Informáticos en la empresa en donde se desempeña profesionalmente. OBJETIVOS ESPECIFICOS DE LA AUDITORIA DE SISTEMAS  Participación en el desarrollo de nuevos sistemas: evaluación de controles cumplimiento de la metodología.  Evaluación de la seguridad en el área informática.  Evaluación de suficiencia en los planes de contingencia. respaldos, preveer qué va a pasar si se presentan fallas.  Opinión de la utilización de los recursos informáticos. resguardo y protección de activos.
  • 21.
     Control demodificación a las aplicaciones existentes. fraudes control a las modificaciones de los programas.  Participación en la negociación de contratos con los proveedores.  Revisión de la utilización del sistema operativo y los programas utilitarios. control sobre la utilización de los sistemas operativos programas utilitarios.  Auditoría de la base de datos. estructura sobre la cual se desarrollan las aplicaciones...  Auditoría de la red de teleprocesos.  Desarrollo de software de auditoría. PLANIFICACION Toda actividad requiere de una planificación adecuada para poder alcanzar los objetivos y metas propuestas. Esta planificación, le permite al auditor tener una visión clara del trabajo que debe realizar durante las diferentes fases de la auditoría y administrarlo conforme al tiempo previo. Según la guía de Auditoría de Gestión de la Calidad elaborada por Sabina J. (2008), la planificación de la auditoría comprende el desarrollo de una estrategia global para su administración, al igual que el establecimiento de un enfoque apropiado sobre la naturaleza, oportunidad y alcance de los procedimientos de auditoría que deben aplicarse. El planeamiento también permitirá que el equipo de auditoría pueda hacer uso apropiado del potencial humano disponible.
  • 22.
    El proceso dela planificación permite al auditor identificar las áreas más importantes y los problemas potenciales del examen, evaluar el nivel de riesgo y programar la obtención de la evidencia necesaria para examinar los distintos componentes de la empresa. La planificación es la primera fase del proceso de la auditoría y de su concepción dependerá la eficiencia y efectividad en el logro de los objetivos propuestos, utilizando los recursos estrictamente necesarios. La planificación será cuidadosa y creativa, positiva e imaginativa, considerará alternativas y seleccionará los métodos más apropiados para realizar las tareas, por tanto esta actividad será coordinada por el Auditor. OBJETIVOS DE LA PLANIFICACION  Permitir la realización de un examen adecuado y eficiente que facilite la consecución de los objetivos de la auditoría en un tiempo razonable.  Facilitar el control sobre el desarrollo del trabajo y el tiempo que se invierte en el mismo.  Fijar racionalmente el alcance con que se van a aplicar los distintos procedimientos de auditoría.  Realizar las actividades de monitoreo y seguimiento de recomendaciones efectuadas en auditorías anteriores. PLANIFICACION PRELIMINAR La planificación preliminar tiene el propósito de obtener o actualizar la información general sobre los distintos sistemas de información que posea la empresa, sus responsables, a fin de identificar globalmente las condiciones existentes para ejecutar la auditoría. Desde este momento, al conocer los principales sistemas o procesos de la organización, sus responsables, actividades, insumos y salidas, estamos en capacidad de identificar aquellos componentes cuya
  • 23.
    relación con lamisión de la empresa es directa y que además, demanda significativos recursos del presupuesto empresarial. Recuerde esta es una etapa que permite conocer la empresa y específicamente en el caso que nos ocupa los procesos informáticos. Aquí usted debe aplicar todas sus habilidades y destrezas que hasta la presente fecha haya estudiado con la finalidad de cumplir con ese objetivo. PLANIFICACION ESPECÍFICA En esta fase se define la estrategia a seguir en el trabajo de campo. Tiene incidencia en la eficiente utilización de los recursos y en el logro de las metas y objetivos definidos para la auditoría. Se fundamenta en la información obtenida inicialmente durante la planificación preliminar. La planificación específica tiene como propósito principal evaluar el control interno, para obtener información adicional, evaluar y calificar los riesgos de la auditoría y seleccionar los procedimientos de auditoría a ser aplicados a cada componente en la fase de ejecución, mediante los programas respectivos. Es decir mediante estos resultados se determina la estrategia de trabajo requerida para cada caso, las mismas que incluirán pruebas sustantivas y de cumplimiento según sea el caso. Estas pruebas conforman el programa de trabajo que serán asignados a cada proceso, los mismos que se diseñan como una guía de instrucciones a aplicarse y que serán distribuidos entre los integrantes del equipo auditor. EJECUCION Este nivel del proceso de la auditoría se relaciona con el cumplimiento de las actividades incluidas en los programas de trabajo y a base de su aplicación se obtendrá evidencia relacionada. La evidencia debe ser suficiente, competente y relevante.
  • 24.
    COMUNICACIÓN DE RESULTADOS Aunquees una de las fases que se la ubica casi al final del proceso, su aplicación deberá ser permanente. Cuando existan hechos reportables deberán ser comunicados oportunamente. Además es conveniente mantener una comunicación constante, lo que garantizará la aplicación oportuna de correctivos, una depuración adecuada del contenido del informe y un aporte de evidencia adicional necesaria para garantizar el trabajo ejecutado por los auditores. En esta fase es importante que se conformen los hallazgos respetando los atributos (condición, criterio, causa y efecto) y de esta forma se debe reunir todos en el informe de auditoría, el mismo que deberá ser comunicado de manera formal al finalizar el proceso. Además deberá contener recomendaciones o sugerencias para la mejora. Para el efecto es importante diseñar un plan de implementación de recomendaciones que debe incluir los siguientes elementos:  Propósito de las recomendaciones  Detalle de actividades  Financiamiento  Responsables  Plazos de ejecución  Firmas de aceptación Debemos tener presente que los papeles de trabajo, las matrices y toda la información que hemos logrado desarrollar, constituirá la base para la elaboración del informe final de auditoría. SEGUIMIENTO El auditor mediante un examen revisará el cumplimiento del propósito y actividades. La eficacia del plan de implementación de
  • 25.
    recomendaciones depende deuna comunicación abierta en todo el proceso y de la homologación de estos resultados, es decir su aceptación por parte de los encargados de su aplicación. Esta fase se la realiza dependiendo del acuerdo que exista entre el auditado y el auditor.
  • 26.
    Similitudes y diferenciascon la auditoría tradicional Similitudes No se requieren nuevas normas de auditoría, son las mismas. Los elementos básicos de un buen sistema de control contable interno siguen siendo los mismos; por ejemplo, la adecuada segregación de funciones. Los propósitos principales del estudio y la evaluación del control contable interno son la obtención de evidencia para respaldar una opinión y determinar la base, oportunidad y extensión de las pruebas futuras de auditoría. Diferencias Se establecen algunos nuevos procedimientos de auditoría. Hay diferencias en las técnicas destinadas a mantener un adecuado control interno contable. Hay alguna diferencia en la manera de estudiar y evaluar el control interno contable. Una diferencia significativa es que en algunos procesos se usan programas. El énfasis en la evaluación de los sistemas manuales está en la evaluación de transacciones, mientras que el énfasis en los sistemas informáticos, está en la evaluación del control interno. BIBLIOGRAFIA http://www.monografias.com/trabajos/auditoinfo/auditoinfo.shtml http://html.rincondelvago.com/auditoria-de-los-sistemas-de- informacion.html